Bonnes pratiques de cybersécurité : étude comportementale et nudge au programme

Le domaine de la cybersécurité a été, durant de nombreuses années, l’affaire des experts et responsables IT des entreprises uniquement. Aujourd’hui, avec l’écosystème interconnecté dans lequel nous vivons, c’est devenu l’affaire de tous. L’heure est donc à la sensibilisation des utilisateurs et l’adoption de bonnes pratiques de cybersécurité.

Malgré l’avancée technologique dont nous bénéficions, aucun système informatisé ne peut se reposer uniquement sur les outils pour en garantir la sûreté. L’utilisateur a une grande part de responsabilité. Aussi faut-il le comprendre pour l’orienter efficacement vers un certain niveau de vigilance et d’attention. N’oublions pas qu’un salarié ne se rend pas à son lieu de travail en pensant aux cybermenaces, il y va pour exécuter plusieurs tâches, souvent répétitives qui peuvent l’entraîner facilement dans des pratiques routinières potentiellement dangereuses pour la cybersécurité.

De bonnes pratiques en cybersécurité,  quasi-instinctives

Les études comportementales nous ont permis de savoir que nous sommes nés avec des réflexes innés. Notre système cognitif nous permet d’adhérer instinctivement à certaines choses comme le langage, la reconnaissance des formes, etc. La plupart de nos comportements d’adultes sont influencés par l’environnement dans lequel nous vivons, sans que nous soyons forcés à faire ainsi. En effet, les méthodes contraignantes ou menaçantes ne sont pas des plus efficaces pour influencer à long terme. Le besoin de savoir qu’on a le choix compte pour les individus ciblés.

Le « nudge » fait partie des méthodes les plus répandues pour influencer la masse vers des comportements plus adaptés. Par exemple à Amsterdam, des fausses mouches placées à l’intérieur des urinoirs ont influencé les utilisateurs à mieux viser. Ce qui a permis de réduire de manière conséquente les dépenses en produits de nettoyage des établissements concernés. Il en est de même pour les traces de pas dans les gares pour orienter les gens dans les directions conseillées. On constate que ces traces sont suivies par la majorité bien que l’on ne soit obligé de s’y référer pour circuler. On peut donc considérer les nudge comme des « coups de pouce » non intrusifs et non contraignants, utilisant le goût universel pour le jeu.

Le jeu comme méthode d’apprentissage de la cybersécurité

Des méthodes participatives, voire ludique sont également promues par des spécialistes en étude comportementale. Dans certaines entreprises, on a organisé des concours de photo des pratiques honteuses en termes de cybersécurité, le tout avec un certain anonymat. Dans d’autres, on a carrément mis les employés dans le rôle des cyberagresseurs lors de simulacres de phishing et autres types d’attaques. Ces pistes, encore peu exploitées, sont à encourager du fait qu’ils incitent indirectement à la prise de conscience.

En somme, l’idée directrice est qu’il faut se baser sur l’étude comportementale afin de trouver le déclic chez les individus. Le mieux est donc, avant tout, de transmettre un état d’esprit, de faire comprendre comment fonctionnent les cybermenaces et comment on tombe dans les pièges. Ce n’est qu’après que l’adoption d’attitudes plus sages en termes de cybersécurité se feront de manière plus naturelle.

Articles récents